x

Svetainių bei interneto sistemų saugumo aspektai, ir kodėl OWASP TOP 10 yra būtinybė

 

Kuriant interneto svetaines ar bet kokias kitas internetines sistemas, itin svarbus aspektas yra užtikrinti projekto saugumą. Iš esmės tiek svetainių kūrėjai, tiek hakeriai (programišiai) naudojasi tomis pačiomis failų bibliotekomis, panašiais ar identiškais metodais, scriptais, todėl norint apsisaugoti, būtina laikytis esminių saugumo taisyklių ir rekomendacijų.

Pagrindiniai saugumo aspektai yra:

  • Konfidencialumas – tai užtikrinimas, kad interneto svetainės duomenys ir informacija būtų prieinami tik tam tikriems asmenims ar grupėms, kuriems suteikta teisė juos peržiūrėti ar redaguoti1. Konfidencialumui apsaugoti reikia naudoti stiprius slaptažodžius, šifruoti ryšį ir duomenis, apriboti prieigą prie administravimo ir duomenų bazės, naudoti patikimus hostingo paslaugų teikėjus ir kt.
  • Vientisumas – tai užtikrinimas, kad interneto svetainės duomenys ir informacija būtų teisingi, nepakeisti ir nepažeisti1. Vientisumui apsaugoti reikia atnaujinti programinę įrangą, naudoti antivirusines ir ugniasienes programas, atlikti reguliarius duomenų atsarginių kopijų darbus, stebėti svetainės veikimą ir kt.
  • Prieinamumas – tai užtikrinimas, kad interneto svetainė būtų pasiekiama ir veiktų tinkamai visiems lankytojams1. Prieinamumui apsaugoti reikia pasirinkti tinkamą hostingo planą, optimizuoti svetainės greitį ir apkrovą, apsisaugoti nuo DDoS atakų, naudoti CDN paslaugas ir kt.

Be šių trijų pagrindinių aspektų, interneto svetainių saugumui taip pat svarbūs ir kiti veiksniai, tokie kaip privatumas, autentifikavimas, autorizavimas, atsparumas pažeidžiamumams ir grėsmėms ir kt. Interneto svetainių saugumui gerinti rekomenduojama laikytis Nacionalinio kibernetinio saugumo centro pateiktų rekomendacijų2 ir naudoti patikrintas saugumo priemones.

Kas yra OWASP TOP 10 ir kodėl rekomenduojama jos laikytis?

OWASP TOP 10 yra reguliariai atnaujinama ataskaita, kuri apibūdina saugumo problemas, susijusias su internetinių programų saugumu, ir akcentuoja 10 labiausiai kritinių rizikų. Ataskaitą sudaro saugumo ekspertų komanda iš viso pasaulio. OWASP vadina TOP 10 kaip „sąmoningumo dokumentą“ ir rekomenduoja, kad visos įmonės įtrauktų ataskaitą į savo saugumo politiką ir praktiką.

OWASP TOP 10 apima šias rizikas:

  • A01:2021-Nulaužta prieigos kontrolė – tai rizika, kai internetinė programa nesugeba tinkamai apriboti prieigos prie savo duomenų ir funkcijų. Tai gali leisti hakeriams gauti prieigą prie konfidencialios informacijos, keisti ar ištrinti duomenis, vykdyti privilegijuotus veiksmus ir kt.
  • A02:2021-Kriptografinės klaidos – tai rizika, kai internetinė programa nesugeba tinkamai naudoti kriptografijos priemones, kad užtikrintų duomenų konfidencialumą, vientisumą ir autentiškumą. Tai gali leisti hakeriams atskleisti ar pakeisti slaptus duomenis, išgauti slaptažodžius ar raktus, prasiskverbti į sistemą ir kt.
  • A03:2021-Injekcija – tai rizika, kai internetinė programa priima nepatikrintus arba nesaugius įvesties duomenis, kurie gali būti interpretuojami kaip komandos ar užklausos. Tai gali leisti puolėjams vykdyti savo veiksmus duomenų bazėse, serveriuose, naršyklėse ir kt.
  • A04:2021-Nesaugus dizainas – tai rizika, kai internetinė programa yra sukurta be atsižvelgimo į saugumo reikalavimus ir principus. Tai gali leisti hakeriams išnaudoti dizaino spragas ar trūkumus, kurie nebuvo numatyti arba nebuvo apsaugoti saugumo mechanizmais.
  • A05:2021-Saugumo konfigūracijos klaidos – tai rizika, kai internetinė programa yra netinkamai sukonfigūruota arba palikta numatytomis (default) reikšmėmis. Tai gali leisti hakeriams pasinaudoti silpnais arba nesaugiais parametrais, atlikti nepageidaujamus pakeitimus arba pasiekti neleistinus resursus.
  • A06:2021-Pažeidžiami ir pasenęi komponentai – tai rizika, kai internetinė programa naudoja komponentus (pvz., bibliotekas, priklausomybes, įskiepius), kurie turi žinomų pažeidžiamumų arba yra nepalaikomi. Tai gali leisti hakeriams išnaudoti šiuos pažeidžiamumus ir sukelti skirtingo masto žalą.
  • A07:2021-Tapatybės ir autentifikacijos nesėkmės – tai rizika, kai internetinė programa nesugeba tinkamai identifikuoti arba autentifikuoti savo vartotojų. Tai gali leisti hakeriams prisijungti kaip kitas vartotojas, apeiti autentifikacijos mechanizmus, perimti sesijas ir kt.
  • A08:2021-Saugumo audito stoka – tai rizika, kai internetinė programa nėra pakankamai testuojama arba tikrinama dėl saugumo pažeidžiamumų arba grėsmių. Tai gali leisti hakeriamsišnaudoti neaptiktas arba neištaisytas klaidas ir sukelti neprognozuojamą žalą.
  • A09:2021-Serveryje esančių API saugumo klaidos – tai rizika, kai internetinė programa naudoja serverio pusės API, kurie yra netinkamai sukonfigūruoti, nesaugūs arba pažeidžiami. Tai gali leisti hakeriams manipuliuoti API duomenimis arba funkcijomis, pakenkti sistemai arba sukelti kitų rizikų.
  • A10:2021-Nepakankamas įrašų žurnalo (logs) tvarkymas ir stebėjimas – tai rizika, kai internetinė programa nesugeba tinkamai registruoti arba stebėti savo veiklos arba įvykių. Tai gali leisti hakeriams išvengti aptikimo arba atsakomybės, užmaskuoti savo pėdsakus arba tęsti savo atakas.

Nėra vieno metodo ar vieno burtažodžio, kuris užlopytų visas OWASP TOP 10 dokumente numatyas spragas ir maksimaliai užkardytų galimybes įsibrauti. Kiekviena sistema ar svetainė naudoja daug specifinių dalykų, skiriasi serveriai ir jų nustatymai, todėl itin svarbu, kad prie projekto dirbtų itin aukštos kvalifikacijos specialistai, kurie sugebėtų užtikrinti maksimalų sistemos saugumą.

Programuoti sistemas ir svetaines pagal OWASP TOP 10 yra svarbu, nes tai padeda užtikrinti jų saugumą ir patikimumą. OWASP TOP 10 atskleidžia dažniausiai pasitaikančias ir pavojingiausias saugumo rizikas, kurios gali sukelti didelę žalą tiek sistemų kūrėjams, tiek vartotojams. Jei sistemų ar svetainių programuotojai laikysis OWASP TOP 10 rekomendacijų ir principų, jie galės:

  • Apsaugoti savo duomenis ir informaciją nuo neleistino prieigos, atskleidimo, pakeitimo ar ištrynimo.
  • Užkirsti kelią hakeriams išnaudoti pažeidžiamumus ar spragas, kurios gali leisti jiems prasiskverbti į sistemą, vykdyti savo valią, sukelti sutrikimus ar netgi pavogti pinigus.
  • Padidinti savo vartotojų pasitikėjimą ir lojalumą, nes jie žinos, kad jų duomenys ir informacija yra saugūs ir kad sistema ar svetainė veikia tinkamai.
  • Sumažinti savo išlaidas ir laiką, nes dažniausiai jiems nereikės taisyti ar atstatyti savo sistemų ar svetainių po saugumo incidentų ar atakų.
  • Atitikti saugumo standartus ir reikalavimus, kurie gali būti nustatyti įstatymais, reglamentais ar sutartimis.
Norite pasikonsultuoti dėl savo svetainės saugumo? Susisiekite

    Jūsų asmens duomenys yra renkami ir tvarkomi, siekiant įvertinti Jūsų interneto projekto poreikius ir pateikti UAB „Picture Ideas" tinkamiausią pasiūlymą. Užpildydami šią formą, Jūs sutinkate kad su mūsų "Privatumo Politikoje" aprašytomis taisyklėmis

    Lukas Gudinauskas

    Kiti straipsniai

     
     
    Lietuvos monetų kalykla: atvejo analizė
    Interneto svetainės
    Intraneto svetainė: būtinybė šiuolaikinėje įstaigoje
    Interneto svetainės | Saugumas
    Kas yra UX/UI ir kam jis reikalingas
    UX/UI dizainas
    Daugiau